基于Android的APP安全檢測(cè)技術(shù)淺析

蘇圣魁 劉樹(shù)發(fā) 王婷

摘 要：智能終端的普及促進(jìn)了各種APP應(yīng)用的快速發(fā)展，這些應(yīng)用極大地方便了人們的工作生活，但是在APP應(yīng)用快速發(fā)展的同時(shí)由于其自身存在的一些安全問(wèn)題也給民眾造成了巨大的危害：個(gè)人隱私信息泄露、銀行賬戶(hù)被竊取等。只有及時(shí)地發(fā)現(xiàn)存在的安全問(wèn)題，才能更好地提高APP應(yīng)用的安全性。該文從基于Android的APP應(yīng)用開(kāi)始入手，對(duì)當(dāng)前常見(jiàn)的幾類(lèi)安全問(wèn)題進(jìn)行了分析，提出了對(duì)這些安全問(wèn)題的檢測(cè)方法和思路。

關(guān)鍵詞：Android APP 安全檢測(cè)

中圖分類(lèi)號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1674-098X（2016）05（a）-0081-02

隨著智能終端的大量普及，各種APP應(yīng)用應(yīng)運(yùn)而生，金融類(lèi)APP、生活類(lèi)APP，以及娛樂(lè)類(lèi)APP應(yīng)用程序數(shù)量眾多，這些APP應(yīng)用極大地方便了人們的生活，足不出戶(hù)即可實(shí)現(xiàn)購(gòu)物、訂餐、金融等服務(wù)。但是這些APP應(yīng)用在極大地便利了人們的同時(shí)還帶來(lái)了一系列的安全問(wèn)題，這些安全問(wèn)題都可能造成個(gè)人信息泄露、財(cái)產(chǎn)損失等。如何對(duì)APP應(yīng)用程序進(jìn)行安全檢測(cè)，提高APP的安全性成為目前一個(gè)亟需解決的問(wèn)題。

1 當(dāng)前APP應(yīng)用程序常見(jiàn)安全問(wèn)題

在當(dāng)前眾多的APP應(yīng)用中面臨一系列的安全威脅，這些安全威脅都可能給民眾造成巨大的損失，APP存在的主要安全問(wèn)題有以下幾方面。

1.1 程序安全

1.1.1 反編譯二次打包安全

由于大部分基于Android的APP應(yīng)用程序沒(méi)有進(jìn)行加殼保護(hù)，導(dǎo)致APP可以被攻擊者反編譯，反編譯后植入廣告、惡意代碼、病毒等重新打包。二次打包后雖然從性能、用戶(hù)體驗(yàn)、外觀都與正規(guī)APP一模一樣，但后臺(tái)卻在悄悄地進(jìn)行著竊取用戶(hù)信息、界面劫持、偷窺隱私、廣告騷擾等惡意行為。

1.1.2 Android組件安全

APP應(yīng)用程序的后臺(tái)服務(wù)、Content Provider、第三方調(diào)用和廣播等組件權(quán)限的設(shè)置存在安全問(wèn)題，導(dǎo)致數(shù)據(jù)失竊密等。

1.2 數(shù)據(jù)安全

1.2.1 Log日志安全

Log日志是APP運(yùn)行期間自身產(chǎn)生的，是對(duì)程序運(yùn)行情況的記錄和監(jiān)控，通過(guò)Log日志可以詳細(xì)了解APP內(nèi)部的運(yùn)行狀況。

1.2.2 本地儲(chǔ)存數(shù)據(jù)安全

本地文件存儲(chǔ)經(jīng)常會(huì)使用以下方式，同樣也會(huì)遇到一些安全問(wèn)題。

SharedPreferences：通過(guò)一個(gè)key-Value（鍵值對(duì)）來(lái)存儲(chǔ)一些輕量級(jí)的數(shù)據(jù)，用于保存一些軟件配置信息等小型數(shù)據(jù)。黑客破解后可以讀取和修改value值。

文件存儲(chǔ)：是文件（I/O）存儲(chǔ)方案，用于存儲(chǔ)大數(shù)量的數(shù)據(jù)。內(nèi)容提供者：也稱(chēng)ContentProvider，是指能實(shí)現(xiàn)所有應(yīng)用程序共享的一種數(shù)據(jù)存儲(chǔ)方式。

SQLite數(shù)據(jù)庫(kù)：是一種嵌入式的、關(guān)系型的數(shù)據(jù)庫(kù)，黑客可以修改一些SQL語(yǔ)句或者讀取數(shù)據(jù)庫(kù)中的數(shù)據(jù)信息，導(dǎo)致APP用戶(hù)的信息泄露。

1.3 數(shù)據(jù)傳輸安全

1.3.1 網(wǎng)絡(luò)監(jiān)聽(tīng)與攻擊

APP運(yùn)行時(shí)，可以通過(guò)特定的工具對(duì)APP和外界之間發(fā)送或接收的網(wǎng)絡(luò)包進(jìn)行抓取。獲取網(wǎng)絡(luò)包后，可以分析APP自身的網(wǎng)絡(luò)協(xié)議，從而針對(duì)服務(wù)器進(jìn)行攻擊，或逆向分析網(wǎng)絡(luò)包的加密算法。

1.3.2 登錄請(qǐng)求重發(fā)攻擊

大部分APP使用的是HTTP的傳輸，這樣在網(wǎng)絡(luò)請(qǐng)求時(shí)很容易被嗅探到數(shù)據(jù)，如果對(duì)登錄過(guò)程中的網(wǎng)絡(luò)封包進(jìn)行重放攻擊測(cè)試，攻擊者可能會(huì)登錄到系統(tǒng)，從而獲取用戶(hù)敏感信息。

2 APP應(yīng)用程序漏洞安全檢測(cè)技術(shù)

和傳統(tǒng)的PC程序安全檢測(cè)相比對(duì)APP應(yīng)用程序漏洞的安全檢測(cè)也分為動(dòng)態(tài)檢測(cè)和靜態(tài)檢測(cè)兩部分。

2.1 靜態(tài)檢測(cè)

靜態(tài)檢測(cè)主要通過(guò)檢測(cè)工具對(duì)APP應(yīng)用程序的權(quán)限配置、程序代碼進(jìn)行檢測(cè)。最常用的方法就是反編譯，dex2jar和apktool分別代有兩種反編譯方式，dex2jar反編譯出java源代碼，apktool反編譯出來(lái)的是java匯編代碼。

2.1.1 dex2jar反編譯

工具：dex2jar+jdgui。

方法：

（1）修改apk為zip擴(kuò)展名。

（2）解壓出classes.dex文件。

（3）使用dex2jar反編譯（dex2jar.bat classes.dex）。

2.1.2 apktool反編譯

工具：apktool。

這個(gè)工具比較簡(jiǎn)單，直接（apktool d apkfile）就可以反編譯apk文件，反編譯出來(lái)的東西為smali反匯編代碼、res資源文件、assets配置文件、lib庫(kù)文件，人們可以直接搜索smali文件和資源文件來(lái)查找鏈接等（圖1）。

通過(guò)靜態(tài)反編譯可以分析APP應(yīng)用程序組件的配置與權(quán)限，檢查APP代碼的安全性。同時(shí)通過(guò)對(duì)源碼的分析了解APP加密機(jī)制和數(shù)據(jù)存儲(chǔ)位置。采用靜態(tài)反編譯方法對(duì)APP應(yīng)用程序進(jìn)行安全檢測(cè)可以最大限度地對(duì)APP的安全性進(jìn)行分析。

2.2 動(dòng)態(tài)檢測(cè)

除了靜態(tài)對(duì)APP應(yīng)用程序進(jìn)行檢測(cè)外，由于檢測(cè)內(nèi)容和APP自身安全加固的問(wèn)題還可以利用動(dòng)態(tài)方式對(duì)APP應(yīng)用程序進(jìn)行安全檢測(cè)。

2.2.1 brupsuite

利用brupsuite工具設(shè)置代理服務(wù)器，可以對(duì)APP應(yīng)用程序中的http協(xié)議內(nèi)容進(jìn)行檢測(cè)和分析，利用這種方法可以檢測(cè)APP是否采用加密傳輸機(jī)制、登陸重放攻擊等安全檢測(cè)。

2.2.2 IDA Pro

IDA Pro從6.1版本開(kāi)始，支持動(dòng)態(tài)調(diào)試Android原生程序。調(diào)試一般的Android原生程序可以采用遠(yuǎn)程運(yùn)行與遠(yuǎn)程附加兩種方式來(lái)調(diào)試。

采用動(dòng)態(tài)調(diào)試的方法可以對(duì)一些采用了加殼技術(shù)的APP程序進(jìn)行檢測(cè)，這樣可以發(fā)現(xiàn)嵌入APP應(yīng)用程序中的惡意程序，是一種比較深入的安全檢測(cè)方式。

3 APP應(yīng)用程序安全檢測(cè)內(nèi)容

3.1 組件安全檢測(cè)

對(duì)Activity安全、Broadcast Receiver安全、Service安全、Content Provider安全、Intent安全和WebView的規(guī)范使用檢測(cè)分析，發(fā)現(xiàn)因?yàn)槌绦蛑胁灰?guī)范使用導(dǎo)致的組件漏洞。

3.2 代碼安全檢測(cè)

對(duì)代碼混淆、Dex保護(hù)、SO保護(hù)、資源文件保護(hù)以及第三方加載庫(kù)的代碼的安全處理進(jìn)行檢測(cè)分析，發(fā)現(xiàn)代碼被反編譯和破解的漏洞。

3.3 內(nèi)存安全檢測(cè)

檢測(cè)APP運(yùn)行過(guò)程中的內(nèi)存處理和保護(hù)機(jī)制進(jìn)行檢測(cè)分析，發(fā)現(xiàn)是否存在被修改和破壞的漏洞風(fēng)險(xiǎn)。

3.4 數(shù)據(jù)安全檢測(cè)

對(duì)數(shù)據(jù)輸入、數(shù)據(jù)存儲(chǔ)、存儲(chǔ)數(shù)據(jù)類(lèi)別、數(shù)據(jù)訪問(wèn)控制、敏感數(shù)據(jù)加密、內(nèi)存數(shù)據(jù)安全、數(shù)據(jù)傳輸、證書(shū)驗(yàn)證、遠(yuǎn)程數(shù)據(jù)通信加密、數(shù)據(jù)傳輸完整性、本地?cái)?shù)據(jù)通訊安全、會(huì)話安全、數(shù)據(jù)輸出、調(diào)試信息、敏感信息顯示等過(guò)程進(jìn)行漏洞檢測(cè)，發(fā)現(xiàn)數(shù)據(jù)存儲(chǔ)和處理過(guò)程中被非法調(diào)用、傳輸和竊取漏洞。

3.5 業(yè)務(wù)安全檢測(cè)

對(duì)用戶(hù)登錄，密碼管理，支付安全，身份認(rèn)證，超時(shí)設(shè)置，異常處理等進(jìn)行檢測(cè)分析，發(fā)現(xiàn)業(yè)務(wù)處理過(guò)程中的潛在漏洞。

3.6 應(yīng)用管理檢測(cè)

（1）下載安裝：檢測(cè)是否有安全的應(yīng)用發(fā)布渠道供用戶(hù)下載。檢測(cè)各應(yīng)用市場(chǎng)是否存在二次打包的惡意應(yīng)用。

（2）應(yīng)用卸載：檢測(cè)應(yīng)用卸載是否清除完全，是否殘留數(shù)據(jù)。

（3）版本升級(jí)：檢測(cè)是否具備在線版本檢測(cè)、升級(jí)功能。檢測(cè)升級(jí)過(guò)程是否會(huì)被第三方劫持、欺騙等漏洞。

參考文獻(xiàn)

[1]柯元旦.Android內(nèi)核刨析[M].電子工業(yè)出版社，2011.

[2]豐生強(qiáng).Android軟件安全與逆向分析[M].人民郵電出版社，2013.

[3]Chris Eagle.IDA Pro權(quán)威指南[M].2版.人民郵電出版社，2012.